Ley de la Protección de Datos Personales en Chile

Chile actualiza su privacidad: Ley de protección de datos personales

Ejecutivo trabajando en un computador con símbolo de privacidad y mapa de Chile, representando el nuevo marco legal de protección de datos personales en Chile.La norma chilena que rige la vida privada –Ley 19.628, de 1999– fue concebida antes de la era de la nube y las redes sociales. Hoy, con más de la mitad de las empresas reportando incidentes de ciberseguridad y la presión por cumplir estándares internacionales como el RGPD, Chile da un paso clave: el Congreso ha aprobado la Ley 21.719, modernizando la regulación y creando una autoridad dedicada a supervisar el tratamiento de datos personales.

Esta reforma no es solo una actualización menor: establece multas de hasta CLP $1.300 millones, obliga a reportar filtraciones en plazos estrictos y define reglas claras para transferencias internacionales de datos. Además, otorga a la ciudadanía nuevos derechos y un ente regulador accesible sin necesidad de acudir a tribunales civiles.

Casos como el ciberataque al BancoEstado en 2020, que paralizó sucursales y dañó su reputación, evidencian que una gestión deficiente de la privacidad tiene un alto costo. Con la nueva ley, filtraciones de ese tipo implicarán notificaciones obligatorias, medidas urgentes y sanciones económicas significativas.

Objetivos estratégicos de la nueva ley

La reforma persigue tres grandes metas:

  • Equiparar la protección de datos chilena a estándares de la OCDE y la Unión Europea.
  • Fortalecer la confianza ciudadana ante el uso de datos biométricos y financieros.
  • Centralizar la fiscalización en una autoridad única, eliminando la dispersión de criterios actuales.

Al alcanzar equivalencia con el RGPD, Chile abre puertas a inversiones en centros de datos, fintech e inteligencia artificial, y brinda a las organizaciones reglas claras y predecibles.

Cinco transformaciones clave en la gestión de datos personales en Chile

1. Notificación obligatoria de incidentes: 72 horas sin margen de error

La Ley 21.719 obliga a informar a la Agencia y a cada persona afectada sobre cualquier filtración de datos en un plazo máximo de 72 horas desde su detección. Este aviso debe incluir: tipo de incidente, volumen de datos comprometidos, acciones tomadas y canales de contacto para los afectados.

Para cumplir, las organizaciones deberán:

  • Mantener bitácoras actualizadas de incidentes y registros forenses que permitan reconstruir los hechos.
  • Contar con equipos de respuesta a crisis multidisciplinarios (TI, legal, comunicaciones) y voceros designados.
  • Realizar simulacros anuales de ciberataques, exigibles en fiscalizaciones.

Omitir esta obligación será una infracción grave, con sanciones de hasta 10.000 UTM y posible suspensión del tratamiento de datos.

2. Consentimiento informado y reforzado: fin de los checkboxes generales

El consentimiento ahora debe ser previo, libre, explícito, específico e inequívoco, otorgado mediante acción afirmativa –firma, clic validado o grabación– y registrado como evidencia verificable.

Las empresas tendrán que:

  • Redactar políticas de privacidad en lenguaje claro, evitando ambigüedades.
  • Ofrecer mecanismos de revocación tan accesibles como su otorgamiento.
  • Documentar la trazabilidad del consentimiento (IP, fecha, versión de política).

Las cláusulas genéricas como “acepto el uso de mis datos” serán inválidas y expondrán a sanciones.

3. Protección reforzada de datos sensibles y biométricos

La ley clasifica como hipersensibles los datos sobre salud, orientación sexual, ideología, biometría o menores. Su tratamiento requiere consentimiento expreso y, en el caso de datos biométricos, doble validación: autorización del titular y evaluación de impacto previa.

Recomendaciones operativas:

  • Aplicar cifrado de alto nivel (AES-256) en reposo y tránsito.
  • Limitar accesos bajo modelo “need-to-know”.
  • Registrar logs inmutables para auditorías o litigios.

El uso indebido será una infracción gravísima, con sanciones máximas y posible orden de eliminar la base de datos.

4. Exportación de datos bajo control estricto

Solo será posible transferir datos al extranjero si el país receptor ofrece protección equivalente, o mediante cláusulas contractuales tipo (CCT) o certificaciones aprobadas por la Agencia. Esta podrá suspender la transferencia si detecta riesgos relevantes.

Acciones necesarias:

  • Documentar expedientes de transferencias, detallando tipo de datos, destinatario y medidas de seguridad.
  • Incluir portabilidad y derecho de cancelación en contratos, incluso fuera de Chile.
  • Guardar evidencia de cumplimiento por al menos cinco años.

Sin estas garantías, la exportación será ilegal y expuesta a multas.

5. Régimen sancionatorio escalonado y disuasivo

La ley fija sanciones proporcionales: leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM o 4% de facturación anual, lo mayor).

Factores agravantes:

  • Reincidencia en menos de 24 meses.
  • Obstrucción de fiscalización.
  • Afectación masiva o de datos sensibles.

Otras consecuencias: suspensión del tratamiento, inclusión en el Registro Nacional de Sanciones y responsabilidad solidaria de directores si hubo negligencia grave.

La Agencia de Protección de Datos

Será un servicio público autónomo dependiente del Ministerio de Hacienda, liderado por un funcionario elegido por concurso. Tendrá facultades para dictar reglas, inspeccionar, multar y ordenar auditorías. Además, gestionará el Registro Público de Sanciones y actuará como ventanilla única para denuncias ciudadanas.

Derechos de las personas

Además de los tradicionales (acceso, rectificación, supresión), se suman:

  • Portabilidad: mover datos a otro proveedor.
  • Derecho al olvido: solicitar eliminación de datos inexactos o innecesarios.
  • Impugnación de decisiones automatizadas: exigir revisión humana de algoritmos con impacto significativo.

Las políticas de privacidad deberán ser claras y con mecanismos sencillos para revocar consentimiento.

Obligaciones para las organizaciones

Inventario y base legal

Será obligatorio elaborar un registro detallado de todas las bases de datos, indicando finalidad, categoría (personales o sensibles), fundamento legal y plazo máximo de conservación. También documentar criterios de eliminación o anonimización tras cumplir la finalidad. Este inventario conformará el Registro Interno exigido y será requerido en fiscalizaciones.

Gobernanza interna

Habrá que nombrar un Responsable de Protección de Datos (RPD), asesorar al directorio, liderar evaluaciones de impacto y gestionar reclamos. Además, se exigirá aprobar un plan anual de gestión de riesgos, obligatorio durante auditorías, y realizar capacitaciones periódicas al personal que maneje datos.

Contratos a terceros

Todos los contratos con encargados deberán incluir cláusulas de confidencialidad, subcontratación controlada, medidas mínimas de seguridad y obligación de notificar incidentes a tiempo para cumplir las 72 horas.

Transferencias internacionales

Solo podrán realizarse si el destino garantiza protección adecuada, mediante CCT o certificaciones. Será necesario documentar cada transferencia, incluir derechos de titular y garantizar mecanismos de ejercicio de derechos desde el extranjero.

Plan de incidentes

La ley obliga a notificar brechas en 72 horas. Para lograrlo, la empresa debe implementar cifrado, respaldos seguros, monitoreo activo y plantillas preaprobadas para avisar a la Agencia y titulares. Este plan debe validarse con simulacros periódicos e integrar las lecciones aprendidas.

Calendario de cumplimiento

La ley entra en vigor 12 meses tras su publicación. Desde entonces, habrá 2 años para adaptar datos y contratos existentes:

  • Mes 0-6: diagnóstico y mapeo.
  • Mes 6-12: políticas y designación del responsable.
  • Mes 12-18: implementación técnica y formación.
  • Mes 18-24: auditoría interna y ajustes finales.

Cualquier nueva base creada tras el primer año deberá cumplir desde el día uno.

En conclusión, la nueva normativa convierte la privacidad en una ventaja competitiva clave. Chile se alinea a estándares internacionales, brinda certidumbre legal y responde a la demanda ciudadana por transparencia. Adelantarse será vital: las organizaciones que estructuren su gobernanza hoy llegarán a 2026 con ventaja; quienes posterguen, arriesgan multas millonarias y pérdida de confianza.

Contacto profesional

Para asesoría personalizada en cumplimiento normativo y protección de datos, complete nuestro formulario de contacto, llámenos al +56 2 3267 1946 o visítenos en World Trade Center Santiago, Nueva Tajamar 481, Torre Norte, oficina 2102, Las Condes, Santiago. Atendemos presencialmente y por videoconferencia en todo Chile.